Suche nach Sicherheitsbedrohungen mithilfe von Jupyter-Notebooks

• Gilt für::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Im Rahmen Ihrer Sicherheitsuntersuchungen und Bedrohungssuchen können Sie Jupyter-Notebooks starten und ausführen, um Ihre Daten programmgesteuert zu analysieren.

In diesem Artikel erstellen Sie einen Azure Machine Learning-Arbeitsbereich, starten Notizbuch von Microsoft Sentinel in Ihren Azure Machine Learning-Arbeitsbereich und führen Code im Notizbuch aus.

Wichtig

Microsoft Sentinel ist als Teil der öffentlichen Vorschau für die Unified Security Operations Platform im Microsoft Defender Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Voraussetzungen

Wir empfehlen, dass Sie sich über Microsoft Sentinel-Notebooks informieren, bevor Sie die Schritte in diesem Artikel ausführen. Lesen Sie dazu Verwendung von Jupyter-Notebooks für die Suche nach Sicherheitsbedrohungen.

Um Microsoft Sentinel-Notebooks verwenden zu können, müssen Sie die folgenden Rollen und Berechtigungen haben:

Typ	Details
Microsoft Sentinel	- Die Rolle Microsoft Sentinel-Mitwirkender zum Speichern und Starten von Notebooks aus Microsoft Sentinel heraus.
Azure Machine Learning	- Eine Rolle Inhaber oder Mitwirkender auf Ressourcengruppenebene, um bei Bedarf einen neuen Azure Machine Learning-Arbeitsbereich zu erstellen. - Eine Rolle Mitwirkender im Azure Machine Learning-Arbeitsbereich, in dem Sie Ihre Microsoft Sentinel-Notebooks ausführen. Weitere Informationen finden Sie unter Zugriff auf einen Azure Machine Learning-Arbeitsbereich verwalten.

Erstellen Sie Ihren Azure Machine Learning-Arbeitsbereich aus Microsoft Sentinel

Wählen Sie zum Erstellen Ihres Arbeitsbereichs eine der folgenden Registerkarten aus – je nachdem, ob Sie einen öffentlichen oder privaten Endpunkt verwenden.

• Es wird empfohlen, einen öffentlichen Endpunkt zu verwenden, wenn Ihr Microsoft Sentinel-Arbeitsbereich über einen öffentlichen Endpunkt verfügt, um potenzielle Probleme bei der Netzwerkkommunikation zu vermeiden.
• Wenn Sie einen Azure Machine Learning-Arbeitsbereich in einem virtuellen Netzwerk verwenden möchten, verwenden Sie einen privaten Endpunkt.

Öffentlicher Endpunkt

1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Verwaltung von Bedrohungen die Option Notebooks aus.
   Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Verwaltung von Bedrohungen>Notebooks aus.

2. Wählen Sie Azure Machine Learning konfigurieren>Neuen AML-Arbeitsbereich erstellen.

3. Geben Sie die folgenden Informationen ein, und wählen Sie dann Weiter aus:

   Feld	BESCHREIBUNG
   Abonnement	Wählen Sie das gewünschte Azure-Abonnement aus.
   Ressourcengruppe	Verwenden Sie eine vorhandene Ressourcengruppe in Ihrem Abonnement, oder geben Sie einen Namen ein, um eine neue Ressourcengruppe zu erstellen. Eine Ressourcengruppe enthält verwandte Ressourcen für eine Azure-Lösung.
   Arbeitsbereichsname	Geben Sie einen eindeutigen Namen ein, der Ihren Arbeitsbereich identifiziert. Namen müssen in der Ressourcengruppe eindeutig sein. Verwenden Sie einen Namen, der leicht zu merken ist und sich von den von anderen Benutzern erstellten Arbeitsbereichen unterscheidet.
   Region	Wählen Sie den Standort aus, der Ihren Benutzern und den Datenressourcen am nächsten ist, um Ihren Arbeitsbereich zu erstellen.
   Speicherkonto	Ein Speicherkonto wird als Standarddatenspeicher für den Arbeitsbereich verwendet. Sie können eine neue Azure Storage-Ressource erstellen oder eine in Ihrem Abonnement vorhandene Ressource auswählen.
   KeyVault	Ein Schlüsseltresor wird zum Speichern von Geheimnissen und anderen vertraulichen Informationen verwendet, die vom Arbeitsbereich benötigt werden. Sie können eine neue Azure Key Vault-Ressource erstellen oder eine in Ihrem Abonnement vorhandene Ressource auswählen.
   Application Insights	Der Arbeitsbereich verwendet Azure Application Insights, um Überwachungsinformationen zu Ihren bereitgestellten Modellen zu speichern. Sie können eine neue Azure Application Insights-Ressource erstellen oder eine in Ihrem Abonnement vorhandene Ressource auswählen.
   Containerregistrierung	Eine Containerregistrierung wird verwendet, um Docker-Images zu registrieren, die zu Trainingszwecken und in Bereitstellungen verwendet werden. Um Kosten zu minimieren, wird erst dann eine neue Azure Container Registry-Ressource erstellt, nachdem Sie Ihr erstes Image erstellt haben. Alternativ können Sie jetzt die Ressource erstellen oder eine vorhandene Ressource in Ihrem Abonnement auswählen oder aber Keine auswählen, wenn Sie keine Containerregistrierung verwenden möchten.

4. Wählen Sie auf der Registerkarte Netzwerk die Option Öffentlichen Zugriff über alle Netzwerke aktivieren aus.

   Legen Sie auf den Registerkarten Erweitert oder Tags alle relevanten Einstellungen fest, und wählen Sie dann Überprüfen und erstellen aus.

5. Überprüfen Sie auf der Registerkarte Überprüfen + erstellen, ob die Informationen korrekt sind, und klicken Sie dann auf Erstellen, um die Bereitstellung Ihres Arbeitsbereichs zu starten. Zum Beispiel:

   

   Die Erstellung des Arbeitsbereichs in der Cloud kann einige Minuten dauern. Während dieser Zeit wird auf der Seite Übersicht des Arbeitsbereichs der aktuelle Bereitstellungsstatus angezeigt. Wenn die Bereitstellung abgeschlossen ist, wird dieser aktualisiert.

Privater Endpunkt

Die Schritte in diesem Verfahren verweisen auf bestimmte Artikel in der Azure Machine Learning-Dokumentation, wenn sie relevant sind. Weitere Informationen finden Sie unter Erstellen eines sicheren Azure Machine Learning-Arbeitsbereichs.

1. Erstellen Sie eine VM-Jumpbox in einem virtuellen Netzwerk. Da das VNet den Zugriff über das öffentliche Internet einschränkt, wird die Jumpbox als Möglichkeit zum Herstellen einer Verbindung mit Ressourcen hinter dem VNet verwendet.

2. Greifen Sie auf die Jumpbox zu, und navigieren Sie dann zu Ihrem Microsoft Sentinel-Arbeitsbereich. Für den Zugriff auf die VM wird die Verwendung von Azure Bastion empfohlen.

3. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Verwaltung von Bedrohungen die Option Notebooks aus.
   Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Verwaltung von Bedrohungen>Notebooks aus.

4. Wählen Sie Azure Machine Learning konfigurieren>Neuen AML-Arbeitsbereich erstellen.

5. Geben Sie die folgenden Informationen ein, und wählen Sie dann Weiter aus:

   Feld	BESCHREIBUNG
   Abonnement	Wählen Sie das gewünschte Azure-Abonnement aus.
   Ressourcengruppe	Verwenden Sie eine vorhandene Ressourcengruppe in Ihrem Abonnement, oder geben Sie einen Namen ein, um eine neue Ressourcengruppe zu erstellen. Eine Ressourcengruppe enthält verwandte Ressourcen für eine Azure-Lösung.
   Arbeitsbereichsname	Geben Sie einen eindeutigen Namen ein, der Ihren Arbeitsbereich identifiziert. Namen müssen in der Ressourcengruppe eindeutig sein. Verwenden Sie einen Namen, der leicht zu merken ist und sich von den von anderen Benutzern erstellten Arbeitsbereichen unterscheidet.
   Region	Wählen Sie den Standort aus, der Ihren Benutzern und den Datenressourcen am nächsten ist, um Ihren Arbeitsbereich zu erstellen.
   Speicherkonto	Ein Speicherkonto wird als Standarddatenspeicher für den Arbeitsbereich verwendet. Sie können eine neue Azure Storage-Ressource erstellen oder eine in Ihrem Abonnement vorhandene Ressource auswählen.
   KeyVault	Ein Schlüsseltresor wird zum Speichern von Geheimnissen und anderen vertraulichen Informationen verwendet, die vom Arbeitsbereich benötigt werden. Sie können eine neue Azure Key Vault-Ressource erstellen oder eine in Ihrem Abonnement vorhandene Ressource auswählen.
   Application Insights	Der Arbeitsbereich verwendet Azure Application Insights, um Überwachungsinformationen zu Ihren bereitgestellten Modellen zu speichern. Sie können eine neue Azure Application Insights-Ressource erstellen oder eine in Ihrem Abonnement vorhandene Ressource auswählen.
   Containerregistrierung	Eine Containerregistrierung wird verwendet, um Docker-Images zu registrieren, die zu Trainingszwecken und in Bereitstellungen verwendet werden. Um Kosten zu minimieren, wird erst dann eine neue Azure Container Registry-Ressource erstellt, nachdem Sie Ihr erstes Image erstellt haben. Alternativ können Sie jetzt die Ressource erstellen oder eine vorhandene Ressource in Ihrem Abonnement auswählen oder aber Keine auswählen, wenn Sie keine Containerregistrierung verwenden möchten.

6. Wählen Sie auf der Registerkarte Netzwerk die Option Öffentlichen Zugriff deaktivieren und privaten Endpunkt verwenden aus. Stellen Sie sicher, dass Sie dasselbe virtuelle Netzwerk wie in der VM-Jumpbox verwenden. Zum Beispiel:

   

7. Legen Sie auf den Registerkarten Erweitert oder Tags alle relevanten Einstellungen fest, und wählen Sie dann Überprüfen und erstellen aus.

8. Überprüfen Sie auf der Registerkarte Überprüfen + erstellen, ob die Informationen korrekt sind, und klicken Sie dann auf Erstellen, um die Bereitstellung Ihres Arbeitsbereichs zu starten. Zum Beispiel:

   

   Die Erstellung des Arbeitsbereichs in der Cloud kann einige Minuten dauern. Während dieser Zeit wird auf der Seite Übersicht des Arbeitsbereichs der aktuelle Bereitstellungsstatus angezeigt. Wenn die Bereitstellung abgeschlossen ist, wird dieser aktualisiert.

9. Erstellen Sie in Azure Machine Learning Studio auf der Seite Compute eine neue Computeressource. Wählen Sie auf der Registerkarte Erweiterte Einstellungen unbedingt das gleiche VNet aus, das Sie auch für Ihre VM-Jumpbox verwendet haben. Weitere Informationen finden Sie unter Erstellen und Verwalten einer Azure Machine Learning-Compute-Instanz.

10. Konfigurieren Sie Ihren Netzwerkdatenverkehr für den Zugriff auf Azure Machine Learning von einem Ort hinter einer Firewall. Weitere Informationen finden Sie unter Konfiguration des ein- und ausgehenden Netzwerkdatenverkehrs.

Fahren Sie mit einer der folgenden Prozeduren fort:

• Sie besitzen nur eine private Verbindung: Sie können nun über eine der folgenden Methoden auf die Notebooks zugreifen:

  • Klonen und Starten von Notebooks über Microsoft Sentinel in Azure Machine Learning
  • Manuelles Hochladen von Notebooks in Azure Machine Learning
  • Klonen des GitHub-Repositorys mit Microsoft Sentinel-Notebooks im Azure Machine Learning-Terminal

• Sie besitzen eine weitere private Verbindung, die ein anderes VNet nutzt: Gehen Sie wie folgt vor:

  1. Wechseln Sie im Azure-Portal zur Ressourcengruppe Ihres Azure Machine Learning-Arbeitsbereichs, und suchen Sie dann nach den Ressourcen der Privaten DNS-Zone mit dem Namen privatelink.api.azureml.ms und privatelink.notebooks.azure.ms. Beispiel:

     

  2. Fügen Sie für jede Ressource, einschließlich privatelink.api.azureml.ms und privatelink.notebooks.azure.ms, eine virtuelle Netzwerkverknüpfung hinzu.

     Wählen Sie die Ressource >VNET-Verknüpfungen>Hinzufügen aus. Weitere Informationen finden Sie unter Verknüpfen des virtuellen Netzwerks.

Weitere Informationen finden Sie unter:

• Fluss des Netzwerkverkehrs bei Verwendung eines gesicherten Arbeitsbereichs
• Schützen von Azure Machine Learning-Arbeitsbereichsressourcen mit virtuellen Netzwerken (VNets)

Nachdem Ihre Bereitstellung abgeschlossen ist, kehren Sie zu Notizbüchern in Microsoft Sentinel zurück, und starten Sie Notizbücher aus Ihrem neuen Azure Machine Learning-Arbeitsbereich.

Wenn Sie über mehrere Notebooks verfügen, stellen Sie sicher, dass Sie einen Standard-AML-Arbeitsbereich auswählen, der beim Starten Ihrer Notebooks verwendet werden soll. Zum Beispiel:

Starten eines Notizbuchs in Ihrem Azure Machine Learning-Arbeitsbereich

Nachdem Sie einen Azure Machine Learning-Arbeitsbereich erstellt haben, starten Sie Ihre Notizbücher in diesem Arbeitsbereich aus Microsoft Sentinel.

1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Verwaltung von Bedrohungen die Option Notebooks aus.
   Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Verwaltung von Bedrohungen>Notebooks aus.

2. Wählen Sie die Registerkarte Vorlagen aus, um die von Microsoft Sentinel bereitgestellten Notizbücher anzuzeigen.

3. Wählen Sie ein Notebook aus, um dessen Beschreibung, erforderliche Datentypen und Datenquellen anzuzeigen.

4. Wenn Sie das gewünschte Notebook gefunden haben, wählen Sie Aus Vorlage erstellen und Speichern aus, um es in Ihren eigenen Arbeitsbereich zu klonen.

5. Bearbeiten Sie den Namen nach Bedarf. Wenn das Notebook bereits in Ihrem Arbeitsbereich vorhanden ist, überschreiben Sie das vorhandene Notebook oder erstellen Sie ein neues. Standardmäßig wird Ihr Notebook im Verzeichnis „/Benutzer/<Ihr_Benutzername>/“ des ausgewählten AML-Arbeitsbereichs gespeichert.

   

6. Nachdem das Notebook gespeichert wurde, ändert sich die Schaltfläche Notebook speichern in Notebook starten. Wählen Sie Notebook starten aus, um es in Ihrem AML-Arbeitsbereich zu öffnen.

   Zum Beispiel:

   

7. Wählen Sie oben auf der Seite eine Compute-Instanz aus, die für Ihren Notebook-Server verwendet werden soll.

   Wenn Sie über keine Compute-Instanz verfügen, erstellen Sie eine neue. Wenn Ihre Compute-Instanz beendet wurde, müssen Sie sie starten. Weitere Informationen finden Sie unter Ausführen eines Notebooks in Azure Machine Learning Studio.

   Nur Sie können die von Ihnen erstellten Computeinstanzen sehen und verwenden. Ihre Benutzerdateien werden getrennt vom virtuellen Computer gespeichert und von allen Computeinstanzen im Arbeitsbereich gemeinsam genutzt.

   Wenn Sie eine neue Compute-Instanz erstellen, um Ihre Notebooks zu testen, erstellen Sie Ihre Compute-Instanz mit der Kategorie Universell.

   Der Kernel wird auch rechts oben in Ihrem Azure Machine Learning-Fenster angezeigt. Wenn der von Ihnen benötigte Kernel nicht ausgewählt ist, wählen Sie in der Dropdownliste eine andere Version aus.

8. Nachdem der Notebookserver erstellt und gestartet wurde, führen Sie Ihre Notebookzellen aus. Wählen Sie in jeder Zelle das Symbol Ausführen aus, um Ihren Notebookcode auszuführen.

   Weitere Informationen finden Sie unter Tastenkombinationen im Befehlsmodus.

9. Wenn Ihr Notebook nicht mehr reagiert oder Sie von vorn beginnen möchten, können Sie den Kernel neu starten und die Notebookzellen von Anfang an erneut ausführen. Wenn Sie den Kernel neu starten, werden Variablen und der sonstige Zustand gelöscht. Führen Sie alle Initialisierungs- und Authentifizierungszellen nach dem Neustart erneut aus.

   Wählen Sie dazu Kernelvorgänge>Kernel neu starten aus. Beispiel:

   

Ausführen von Code in Ihrem Notebook

Führen Sie Notebook-Codezellen immer nacheinander aus. Das Überspringen von Zellen kann zu Fehlern führen.

In einem Notebook:

• Markdownzellen enthalten Text, einschließlich HTML, und statische Bilder.
• Codezellen enthalten Code. Nachdem Sie eine Codezelle ausgewählt haben, führen Sie den Code in der Zelle aus, indem Sie links neben der Zelle das Symbol Wiedergeben auswählen oder indem Sie UMSCHALT+EINGABE drücken.

Führen Sie beispielsweise die folgende Codezelle in Ihrem Notebook aus:

# This is your first code cell. This cell contains basic Python code.

# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.

print("Congratulations, you just ran this code cell")

y = 2 + 2

print("2 + 2 =", y)

Der Beispielcode erzeugt diese Ausgabe:

Congratulations, you just ran this code cell

2 + 2 = 4

Variablen, die in einer Notebook-Codezelle festgelegt werden, bleiben zwischen Zellen bestehen, so dass Sie Zellen miteinander verketten können. Die folgende Codezelle verwendet beispielsweise den Wert y aus der vorherigen Zelle:

# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.

y + 2

Die Ausgabe ist:

6

Herunterladen aller Microsoft Sentinel-Notebooks

In diesem Abschnitt wird beschrieben, wie Sie Git verwenden, um alle Notebooks, die im Microsoft Sentinel-GitHub-Repository verfügbar sind, aus einem Microsoft Sentinel-Notebook, direkt in Ihren Azure Machine Learning-Arbeitsbereich herunterzuladen.

Wenn Sie die Microsoft Sentinel-Notizbücher in Ihrem Azure Machine Learning-Arbeitsbereich speichern, können Sie sie auf einfache Weise aktualisieren.

1. Geben Sie in einem Microsoft Sentinel-Notebook den folgenden Code in eine leere Zelle ein, und führen Sie dann die Zelle aus:

   !git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
   

   Eine Kopie des GitHub-Repositoryinhalts wird im Verzeichnis azure-Sentinel-nb in Ihrem Benutzerordner Ihres Azure Machine Learning-Arbeitsbereichs erstellt.

2. Kopieren Sie die gewünschten Notebooks aus diesem Ordner in Ihr Arbeitsverzeichnis.

3. Wenn Sie Ihre Notebooks mit aktuellen Änderungen von GitHub aktualisieren möchten, führen Sie Folgendes aus:

   !cd azure-sentinel-nb && git pull
   

Zugehöriger Inhalt

• Jupyter-Notizbücher mit Microsoft Sentinel-Suchfunktionen
• Erste Schritte mit Jupyter Notebooks und MSTICPy in Microsoft Sentinel